Ces procédés connaissent un succès croissant dans les entreprises, par le biais notamment de dispositifs de contrôle d’accès, de vérification de présence, ou encore de gestion des horaires. Mais ces systèmes sont strictement encadrés : l’employeur ne peut y avoir recours selon son bon vouloir. S’il entend mettre en place un dispositif biométrique, il devra impérativement consulter les institutions représentatives du personnel (le Comité d’entreprise au titre de l’article L.432-2-1 et le CHSCT au titre de l’article L.236-2, alinéa 1er) et obtenir l’accord de la Commission Nationale de l’informatique et des libertés (CNIL).
Face à un nombre de demandes en pleine augmentation, et aux risques particuliers qu’elles impliquent, la CNIL vient de publier un guide (Communication en date du 28 décembre 2007, disponible sur son site internet) visant à préciser les principaux critères sur lesquels elle se fonde pour accepter ou refuser une catégorie particulière de procédés biométriques : les empreintes digitales. Mais ces critères ne sont valables que lorsque ces empreintes sont stockées sur un terminal de lecture-comparaison ou sur un serveur. Pour les dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail, la CNIL a adopté, le 27 avril 2006, une délibération portant autorisation unique de mise en œuvre (Délibération n°2006-102).
Aux termes du communiqué du 28 décembre 2007, la CNIL précise qu’elle ne donnera son accord, pour cette catégorie de dispositifs, que si 4 critères sont réunis:
1° le dispositif doit être limité au contrôle de l’accès d’un nombre restreint de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme et ayant trait à la protection de l’intégrité physique des personnes, de celle des biens et des installations ou encore à celles de certaines informations (accès à certaines parties de sites classés Seveso II, zone spécifique à l’intérieur d’une installation nucléaire, centre de production de vaccins, centre de contrôle et de sécurité d’une grande entreprise de messageries, cabinet-conseil en matière de propriété intellectuelle et industrielle…).
2° le dispositif doit être proportionné au but recherché. Autrement dit, le système proposé est-il bien / le mieux adapté à l’objectif recherché? N’existerait-il pas d’autres possibilités, non biométriques proposant un même niveau de sécurité? Etc.
3° le système doit être fiable et sécurisé. Il doit permettre à la fois une authentification et/ou une identification fiable des personnes et comporter toutes les garanties pour éviter la divulgation des données. La CNIL vérifiera ici à la fois les caractéristiques du dispositif biométrique (normes techniques, conditions de collecte, de conservation et d’effacement, etc.) et la sécurité du système «dans son ensemble» (protection contre les intrusions, sécurité des lecteurs et des capteurs biométriques, etc.).
4° les personnes concernées doivent être informées de la finalité du dispositif, des destinataires ou catégories de destinataires des données ainsi que des modalités d’exercice de leur droit d’accès ou de rectification aux données (accès à l’historique par exemple). La communication précise que lorsque les personnes concernées sont des salariés, l’information individuelle doit être associée à la consultation des instances représentatives du personnel. Point très important, la CNIL indique que le fait d’avoir l’assentiment des instances représentatives du personnel sera un élément pris en considération dans le cadre de l’examen des demandes d’autorisations.
Le rôle des institutions représentatives du personnel est extrêmement important. Devant être consultées avant toute mise en place, il leur appartient aussi de veiller à ce que l’employeur respecte les préconisations de la CNIL, quitte à saisir au besoin cette commission ou le Tribunal de grande instance pour obtenir la mise en conformité du dispositif ou son retrait. Le TGI de Paris dans un jugement du 19 avril 2005 a invalidé un dispositif de contrôle par empreintes digitales estimant que la mesure était attentatoire aux libertés individuelles et non justifiée par un quelconque impératif de sécurité. En l’espèce, le procédé n’avait pour seul objet que de mesurer le temps de présence effectif dans l’entreprise (TGI Paris, 1er ch. sect. soc., 19 avril 2005, n°05/00382). Rappelons également que les délégués du personnel ont la possibilité d’utiliser leur droit d’alerte en cas d’atteintes aux droits des personnes et aux libertés individuelles (article L.422-1-1 du Code du travail).
A noter qu’en l’absence de déclaration à la CNIL, un employeur ne peut sanctionner un salarié qui refuserait de se plier à la pratique des empreintes digitales et ce même si le règlement intérieur de l’entreprise fait obligation au personnel d’utiliser un tel système (Cass. soc., 6 avril 2004, n°01-45.227). En outre, il s’expose à des sanctions pénales (article 226-16 du Code pénal).
De manière générale et à titre de conclusion, il ressort clairement que la CNIL n’admet qu’exceptionnellement le recours aux empreintes digitales stockées sur un serveur.
Commenter cet article